実在する企業の名前を騙ったフィッシング詐欺メール等、お客様情報を不正に入手するために送信者の情報を偽ったメールが送信されておりますのでご注意ください。フィッシング(Phishing)詐欺とは?フィッシングは「Phishing」と記載され、「釣り」が語源であると言われています。メールの差出人(From:欄)を偽装し、銀行やクレジットカード会社等の実在する企業からのメールを装い、実在する企業のWebサイトと思われるようなURLへ誘導し、クレジットカード番号やパスワード(暗証番号)等を搾取する詐欺です。 代表例主に電子メールにより無差別に送信されることが多く、本文中で「オンライン上の本人確認が必要になります」と呼びかけて偽サイトのURLに誘導し、暗証番号等の入力を求めるといったものが主流です。パスワードの有効期限が迫っているので変更してください、といった内容のものもあるようです。 電子メールの仕様上、メールのFrom:欄(差出人)は送信者側で任意に書き換えることが可能であり、この特性を悪用して実在する企業等のメールアドレスを騙ってメールを送信することもあります。また、実在する企業のメールアドレスと類似するメールアドレスからメールが送信されてくる場合もあるようです。 対策方法対策の基本として、以下のような方法があります。 1.メールに記載されたURLに安易にアクセスしないメール送信者は、メールアドレスの存在の有無に関わらず、存在が予想されるメールアドレスに機械的にメールを送信していることがあります。 Webページへアクセスすることによって、該当メールアドレスの有効性をメール送信者へ伝えることとなり、今後更に迷惑メールが送信される危険性があります。不審なメールに記載されるURLはクリックしないようにご注意ください。 2.クレジットカード番号やパスワードなどの重要な情報を入力しないフィッシング詐欺メール(サイト)では、必ずと言っていいほどクレジットカード番号やパスワードの入力を求めてきます。これは、詐欺者の目的がクレジットカード番号やパスワードの入手にあるからです。 不審なWebサイトでは、クレジットカード番号やパスワードの入力を行わないようにしましょう。 3.ドメイン名の確認フィッシング詐欺メール(サイト)では、アクセスしたページのアドレスが実際の企業のドメイン名と異なり、IPアドレスの場合や、実在する企業と類似したドメイン(「i」を「j」と置き換えたドメイン名等)を利用する場合があるようです。 アクセスした際には、アクセス先のドメイン名が実際の企業のドメイン名と同一であることを確認してください。 ただし、ブラウザのバグ等を利用して、フィッシング詐欺サイトを実際の企業のドメイン名を参照しているように見せる実例があるようですので、実際の企業のドメイン名と同一のドメイン名の場合でも、ご注意ください。 4.暗号化通信の確認暗号化通信に対応している場合、アクセスされたWebページのアドレスは基本的に「https://」から始まります。また、ブラウザには、暗号化通信していることを示す鍵マークが表示されます。 ただし、「https://」から始まるWebサイトがフィッシング詐欺サイトだった実例があるようですので、「https://」から始まるURLのWebサイトの場合も、Webサイトの内容にご注意ください。 5.該当メールのヘッダ情報を確認するメールの From:欄は送信者側で書き換えることが可能です。該当メールの実際の送信元は、メールのヘッダ情報に記載される Recieved:行より確認することが可能です。 該当メールの送信元ネットワークが、実在する企業と無関係に見受けられる場合には警戒が必要です。 6.実在する企業のWebサイトにアクセスするメールの内容に不審な点があった場合には、該当メールに記載されるURLをクリックするのではなく、該当企業のホームページを直接訪れて内容を確認するか、問い合わせ窓口にご質問ください。 また、インターネット上にて疑問点が解消されない場合には、電話等で該当企業に問い合わせをすることもご検討ください。 参考資料フィッシング詐欺に関する情報は、以下のサイトをご覧ください。 |